Typowe zasady dostępu warunkowego: wymagaj zgodnego urządzenia, urządzenia dołączonego hybrydowego firmy Microsoft lub uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

Organizacje, które wdrożyły usługę Microsoft Intune, mogą używać informacji zwracanych z urządzeń do identyfikowania urządzeń spełniających wymagania dotyczące zgodności, takie jak:

• Wymaganie numeru PIN do odblokowania
• Wymaganie szyfrowania urządzenia
• Wymaganie minimalnej lub maksymalnej wersji systemu operacyjnego
• Wymaganie urządzenia nie jest zdjęte zabezpieczeń systemu ani odblokowane dostęp do konta root

Informacje o zgodności zasad są wysyłane do identyfikatora Entra firmy Microsoft, w którym dostęp warunkowy decyduje się na udzielenie lub zablokowanie dostępu do zasobów. Więcej informacji na temat zasad zgodności urządzeń można znaleźć w artykule Ustawianie reguł na urządzeniach w celu zezwolenia na dostęp do zasobów w organizacji przy użyciu usługi Intune

Wymaganie urządzenia hybrydowego dołączonego do firmy Microsoft Entra jest zależne od urządzeń, które są już przyłączone hybrydą firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie dołączania hybrydowego firmy Microsoft Entra.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza umożliwiające programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług, takie jak te, powinny zostać wykluczone, ponieważ nie można programowo ukończyć uwierzytelniania wieloskładnikowego. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki ułatwią utworzenie zasad dostępu warunkowego w celu wymagania uwierzytelniania wieloskładnikowego, urządzenia, które uzyskują dostęp do zasobów, są oznaczone jako zgodne z zasadami zgodności usługi Intune w organizacji lub dołączone hybrydowe do firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
2. Przejdź do strony Ochrona>dostępu warunkowego.
3. Wybierz pozycję Utwórz nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
   1. Jeśli musisz wykluczyć określone aplikacje z zasad, możesz wybrać je z karty Wykluczanie w obszarze Wybierz wykluczone aplikacje w chmurze i wybrać pozycję Wybierz.
7. W obszarze Kontrola>dostępu Udziel.
   1. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, Wymagaj, aby urządzenie było oznaczone jako zgodne i Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra
   2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednego z wybranych kontrolek.
   3. Wybierz pozycję Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Uwaga

Nowe urządzenia można zarejestrować w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla pozycji Wszyscy użytkownicy i Wszystkie aplikacje w chmurze, wykonując powyższe kroki. Wymagaj, aby urządzenie było oznaczone jako zgodne, nie blokuje rejestracji w usłudze Intune i dostępu do aplikacji microsoft Intune Web Portal firmy.

Znane zachowanie

W systemie Windows 7, iOS, Android, macOS i niektórych przeglądarkach internetowych innych firm identyfikator Entra identyfikuje urządzenie przy użyciu certyfikatu klienta, który jest aprowizowany, gdy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik końcowy musi wybrać ten certyfikat, zanim będzie mógł nadal korzystać z przeglądarki.

Aktywacja subskrypcji

Organizacje korzystające z funkcji aktywacji subskrypcji, aby umożliwić użytkownikom "zintensyfikowanie" z jednej wersji systemu Windows do innej i używanie zasad dostępu warunkowego w celu kontrolowania dostępu do konieczności wykluczenia jednej z następujących aplikacji w chmurze z zasad dostępu warunkowego przy użyciu opcji Wybierz wykluczone aplikacje w chmurze:

• Interfejsy API usługi uniwersalnej sklepu i aplikacja internetowa, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Sklep Windows dla firm, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Mimo że identyfikator aplikacji jest taki sam w obu wystąpieniach, nazwa aplikacji w chmurze zależy od dzierżawy.

Aby uzyskać więcej informacji na temat konfigurowania wykluczeń w zasadach dostępu warunkowego, zobacz Wykluczenia aplikacji.

Jeśli urządzenie jest w trybie offline przez dłuższy czas, urządzenie może nie być uaktywnione automatycznie, jeśli to wykluczenie dostępu warunkowego nie zostanie wprowadzone. Ustawienie tego wykluczenia dostępu warunkowego gwarantuje, że aktywacja subskrypcji będzie nadal bezproblemowo działać.

Począwszy od systemu Windows 11, wersja 23H2 z KB5034848 lub nowszym, użytkownicy są monitowani o uwierzytelnienie za pomocą wyskakujące powiadomienie, gdy aktywacja subskrypcji musi ponownie uaktywnić. Powiadomienie wyskakujące spowoduje wyświetlenie następującego komunikatu:

Twoje konto wymaga uwierzytelniania

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Ponadto w okienku Aktywacja może zostać wyświetlony następujący komunikat:

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Monit o uwierzytelnienie zwykle występuje, gdy urządzenie jest w trybie offline przez dłuższy czas. Ta zmiana eliminuje konieczność wykluczenia w zasadach dostępu warunkowego dla systemu Windows 11 w wersji 23H2 z KB5034848 lub nowszym. Zasady dostępu warunkowego mogą być nadal używane w systemie Windows 11 w wersji 23H2 z KB5034848 lub nowszym, jeśli monit o uwierzytelnienie użytkownika za pośrednictwem wyskakujące powiadomienie nie jest wymagane.

Następne kroki

Szablony dostępu warunkowego

Określanie efektu przy użyciu trybu tylko do uzyskiwania dostępu warunkowego

Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.

Zasady zgodności urządzeń działają z identyfikatorem Entra firmy Microsoft